Bir kuruluş hangi sektörde faaliyet gösteriyor olursa olsun, büyüklüğü ne olursa olsun, kendi içinde bilgi üretmektedir ve her bilgi kıymetlidir. Bilgi korumaya yönelik yapılacak çalışmalar ve bu çalışmaların kapsamı kuruluşun özelliklerine göre değişse de, temel olarak kurulacak Bilgi Güvenliği Yönetim Sistemi’nin kapsamı şu şekilde olacaktır:
- Güvenlik politikası: Kuruluş üst yönetimi, bilgi güvenliği konusunda izlenecek politikayı belirlemiş ve açıklamış olmalıdır.
- Bilginin sınıflandırılması: Bilgi varlıklarının envanteri çıkarılmalı ve önem dereceleri belirlenmelidir.
- Personel güvenliğinin sağlanması: Bu çalışma çalışanların hata yapmasını önler ve bilginin amacı dışında kullanılması riskini en aza indirir.
- Fiziksel güvenliğin sağlanması: Bilgi kaynaklarına yapılacak saldırıları ve bilginin bozulma veya değiştirilme riskini en aza indirir.
- Operasyonel güvenliğin sağlanması: Bilgisayar sistemlerinin yeterli ve güvenilir olması sağlanmalıdır. Ayrıca bu sistemlerin sürekli geliştiriliyor olması gerekir.
- Bilgiye erişimin kontrolü: Bilgiye sadece yetkisi olan kişiler erişebilmelidir.
- Olay anında hızlı müdahalenin sağlanması: Güvenlik ihlallerinin oluş şekline göre zamanında ve hızlı müdahale edilebilmelidir.
- İşin sürekliliğinin sağlanması: Bilgiye yapılacak saldırılar, kuruluşun esas işlerinin yapılmasını kesmemeli, normal ortama çok çabuk dönülebilmelidir.
- Uygunluk: Bilgi Güvenliği Yönetim Sistemi, yasal düzenlemelerin gerektirdiği yükümlülükleri karşılayacak düzeyde olmalıdır.
Genel kanının aksine, Bilgi Güvenliği Yönetim Sistemi, kuruluşta sadece bilgi teknolojilerinin bir projesi değildir. Bu sistem kuruluşun tamamını ilgilendiren bir bilgi güvenliği projesidir. Bu yüzden de bu sistemi kurmaktan ve işletmekten bilgi işlem üniteleri değil doğrudan üst yönetim sorumludur.
Bilgi Güvenliği Yönetim Sistemi, her ne kadar bilgi işlem ünitesi ile ilgili görünse de gerçekte kuruluşun bütün üniteleri ve süreçleri ile ilişkilidir.
Bu yanlış anlaşmalara belki de bilgi güvenliği konusunda yasal düzenlemelerin henüz yapılmamış olması etkili olabilir. Bilgi Güvenliği Yönetim Sistemi’ni kurmak bir zorunluluk olmadığı için, resmi kuruluşlarda ya da özel sektörde bilgi güvenliği yönetimi beklenen şekilde yaygınlaşamamıştır.
ISO 27001 Bilgi Güvenliği Yönetim Sistemi’nin standart kapsamı konusunda daha fazla bilgi almak için, TURCERT belgelendirme kuruluşunun deneyimli yöneticilerine ve çalışanlarına başvurabilirsiniz.